В середине ноября прошел VIII SOC-Форум – одно из важных событий в сфере информационной безопасности, организованное ФСБ России и ФСТЭК России в партнерстве с «Ростелеком-Солар». В этом году форум посетило 3200 человек. Лейтмотивом выступлений на форуме стали глобальные изменения в кибермире, которые произошли после 24 февраля. Квинтэссенцией настроений стала фраза «Мы отбились», которую произнес на открытии форума вице-президент по информационной безопасности ПАО «Ростелеком» Игорь Ляпунов.
Работа киберштаба
Немалую роль в этом сыграл киберштаб для совместной защиты российских организаций, который был организован под контролем НКЦКИ и объединил крупнейшие отечественные ИБ-компании — «Ростелеком-Солар», «Лаборатория Касперского», Positive Technologies и BI.ZONE — а также представителей крупного бизнеса. Киберштаб был создан для того, чтобы эксперты обменивались инструментарием и наработками, которые ранее считали своим конкурентным преимуществом. О его деятельности компании, которые участвовали в его деятельности, рассказали в рамках пресс-конференции. Они дали оценку изменений в киберпространстве с начала СВО.
За 8 месяцев совместной деятельности объединенная группа разработала для компаний несколько документов и рекомендаций, в том числе по обновлению зарубежного ПО, борьбе с отзывом сертификатов, а также аналитику по ИТ-армии Украины и др. Участники киберштаба не только усилили взаимодействие в рамках ГосСОПКА, но и сформировали отдельную среду для оперативной совместной работы. Поступающие данные по атакам обрабатываются в рамках единой команды на условиях неконкуренции, свободного и полного шеринга экспертизы, а задачи распределяются с учетом честной оценки свободных ресурсов. Такой подход позволил обеспечить максимально качественное реагирование на атаки внутри инфраструктур отдельных компаний, которым оказывалась поддержка.
«Этот опыт необходимо масштабировать, выстраивать баланс между коммерческими интересами отдельных компаний и реальной экстренной помощью пострадавшим: в информационной безопасности необходима своя «клятва Гиппократа», в соответствии с которой первостепенной является именно неотложная помощь атакованным», – считает директор по исследованиям и разработке компании Positive Technologies Алексей Новиков. Впрочем, заместитель министра цифрового развития, связи и массовых коммуникаций РФ Александр Шойтов предложил другую метафору — пожарная служба. С одной стороны ее сотрудники регулярно требуют соблюдать требования пожарной безопасности, однако если что-то произойдет, то они приезжают и исправляют ситуацию. Также должно быть и в информационной безопасности, считает он.
Целенаправленные атаки
Далеко не все из профессиональных политически мотивированных атак стали доступны широкой публике, но можно отметить, что несколько компаний с очень серьезным уровнем безопасности пали жертвой группировок, работающих в интересах наших политических визави и нацеленных на дестабилизацию, разрушение инфраструктуры или максимальную компрометацию критических данных организации. Для атаки как правило использовались эксплуатация уже известных уязвимостей и фишинговые рассылки с вредоносным ПО, в том числе с серверов предварительно скомпрометированных компаний.
Не исчезли и группировки, практикующие классический кибершпионаж. В текущих реалиях им стало даже проще скрываться от взглядов команд безопасности. Причина этого проста: защищающая сторона сейчас вынуждена противодействовать непрерывному валу простых, но быстрых в реализации атак. При этом на уровне риск-приоритетов компаний угроза шифрования данных куда более значима, чем «абстрактный» шпионаж.
«Большинство организаций после февральских событий стали наращивать свою защищенность, однако на практике этого мало — в случае любых геополитических потрясений, равно как и общественно значимых событий, необходимо оперативно искать следы более раннего взлома организации, — подчеркнул Алексей Новиков. — На практике оказалось, что многие компании были взломаны за несколько месяцев до нанесения им реального ущерба — в частности, полного вывода из строя или длительного нарушения работоспособности сервисов, потери конфиденциальных данных».
Оценка работы
На SOC-Форум 2022 прошла церемония награждения активных членов киберштаба, который приняли наиболее активно участие в отражении массовых атак. Также в этом году на SOC-Форуме состоялся финал первой в России кампании по поиску и развитию передовых технологий кибербезопасности DeepTech Cybersecurity Хаба «Кибербезопасность». Всего 15 команд-финалистов защитили свои решения перед экспертами и инвесторами из ключевых российских компаний, включая «Ростелеком», Сбербанк, «Ростех», МТС. Участники финала программы смогут стать резидентами ИТ-кластера «Сколково». А победители конкурса будут объявлены в рамках Skolkovo CyberDay 2022. Они примут участие в программе фокусной бизнес-акселерации, смогут разместить свои решения на Национальном киберполигоне и привлечь грантовую поддержку и стратегические инвестиции.
